iSecure logo
Blog

Zabezpieczenia pamięci przenośnej według irlandzkiego organu nadzorczego

Co słychać na zielonej wyspie?

Jak dobrze wiemy, jednym z głównych obowiązków administratora danych wynikających z ogólnego rozporządzenia o ochronie danych (RODO) jest zapewnienie odpowiednich środków bezpieczeństwa danych osobowych. Te środki powinny chronić przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem (posługiwaniem się) danymi osobowymi, w tym przed kradzieżą, zniszczeniem, uszkodzeniem lub ich ujawnieniem.

Skąd administrator danych osobowych ma wiedzieć jakie środki bezpieczeństwa są odpowiednie? Dokonując analizy ryzyka, zatrudniając specjalistów lub… samodzielnie czytając wytyczne organów. Należy również pamiętać o audycie (monitorowaniu) zastosowanych środków, ponieważ z czasem mogą się dezaktualizować. W tym wpisie skupimy wzrok na ostatnim przypadku, a dokładnie na przejrzeniu wytycznych irlandzkiego organu ochrony danych osobowych (1).

 Pamięci przenośne – jak żyć?

Jeżeli w swojej firmie administrator danych nie zablokował portów USB, może dochodzić do zgrywania danych osobowych na masowe pamięci przenośne:

  • pendrive,
  • zewnętrzne dyski twarde,
  • karty micro-SD,

bądź na wewnętrzne pamięci przenośne różnych urządzeń:

  • smartfonów,
  • tabletów.

Powyższe urządzenia z pamięciami przenośnymi należy zabezpieczyć analizując kwestie m. In.:

  • przenoszenia urządzeń, a więc możliwość ich kradzieży lub zgubienia,
  • wgrania złośliwego oprogramowania po podłączeniu do urządzenia służbowego,
  • nieuprawnionego dostępu do plików przez osoby postronne.

Czy wewnętrzne firmowe procedury będą pomocne? Odpowiedź wydaje się oczywista – nie. Dokumentacja pozwala jedynie uporządkować środki, które powinny być stosowane w danym przypadku. Natomiast te środki bezpieczeństwa należy jeszcze zastosować i je sprawdzić. O jakich środkach bezpieczeństwa mowa? Z odpowiedzą przychodzi właśnie irlandzki organ nadzorczy.

 Co na to organ?

Irlandzki organ przedstawia swoje wytyczne, w których informuje administratorów danych osobowych o następujących środkach minimalizujących ryzyko naruszenia danych osobowych. Dla zwiększenia czytelności zalecenia organu podzieliłem na kilka grup.

 Pracownicy a zabezpieczenia pamięci USB

– Czy pracownik może korzystać z prywatnych urządzeń?

– W żadnym wypadku!

I na tym można zakończyć wszelkie dywagacje. Urząd ujął podejście do prywatnych urządzeń w kilku następujących punktach:

  • zakaz korzystania i podpinania do komputerów służbowych prywatnych pamięci przenośnych pracowników,
  • zakaz zgrywania danych osobowych na prywatne urządzenia przenośne,
  • należy korzystać z autoryzowanych pamięci przenośnych autoryzowanych przez pracodawcę
  • zakaz korzystania ze służbowych urządzeń przenośnych na prywatnych komputerach,

Powyższe zakazy wydają się rygorystyczne, ale mają swoje uzasadnienie. Żadne złośliwe oprogramowanie nie powinno dostać się na przenośną pamięć, jeżeli jest ona używana jedynie w zamkniętym środowisku pracodawcy. Dodatkowo pamiętajmy o zrobieniu spisu posiadanych aktywów, czyli prowadzeniu ewidencji posiadanych pamięci masowych, oraz o aktualizowaniu tego rejestru w przypadku wydania nośnika lub jego zwróceniu przez pracownika.

W swoich zaleceniach organ jeszcze kilkukrotnie wspomina o pracownikach. Mianowicie:

  • należy ograniczyć liczbę pracowników mogących zgrywać pliki na pamięci zewnętrzne,
  • każdy z pracowników musi posiadać aktualne upoważnienie oraz zobowiązanie do poufności,
  • każde urządzenie powinno mieć przypisanego swojego użytkownika, który jest odpowiedzialny za daną pamięć,
  • każdy pracownik po zakończeniu pracy musi zwrócić urządzenie.

 Zabezpieczenia techniczne

Jeżeli chodzi o zabezpieczenia techniczne, to urządzenia przenośne powinny być:

  • zaszyfrowane (cały dysk), oraz
  • zabezpieczone hasłem.

Co możemy uznać za silne hasło? Zgodnie z zaleceniami hasło powinno składać się z co najmniej dwunastu znaków i zawierać co najmniej jeden z następujących elementów: mała bądź duża litera, cyfra lub znak specjalny.

Dodatkowo trzeba mieć na uwadze, aby:

  • pracownik mógł zgrywać dane na pamięci masowe tylko na krótki okres, a jeżeli to możliwe, powinien być wdrożony system, który automatycznie usuwa danym po konkretnym czasie,
  • pracownik usuwał dane z pamięci przenośnej, gdy są już zbędne,
  • była możliwość (o ile to wykonalne) zdalnego usunięcia danych (na odległość) z pamięci pracownika,
  • robić kopię przeniesionych danych na pamięć, aby w przypadku zgubienia urządzenia była możliwość ich odtworzenia,
  • pamięci masowej nie pozostawiać bez nadzoru (w szczególności podczas transportu), a nieużywana pamięć powinna być zabezpieczona (np. przechowywana w bezpiecznym pomieszczeniu/szufladzie),
  • IT dokonywało przeglądów pamięci przenośnych w celu upewnienia się, że są przechowywane na nim jedynie dopuszczalne dokumenty (bez nielegalnych programów/materiałów),
  • urządzenia pochodziły od renomowanych dostawców.

 Podsumowanie. Zwiększ świadomość pracowników i szyfruj pamięć!

Powyższe zasady oczywiście należy wdrożyć w firmie w postaci wewnętrznej polityki zawierającej wymienione zalecenia i zakomunikować je całemu personelowi. Świadomość od zawsze jest najważniejsza, ponieważ do większości naruszeń dochodzi z powodu błędu osoby, będącej najbardziej związanej z administratorem danych – czyli z winy pracownika. Dlatego każdy pracodawca musi pamiętać o zapewnieniu szkoleń dla pracowników (i to nie jednorazowych, a wielokrotnie przypominać pracownikom o zasadach bezpieczeństwa!) w celu szerzenia wiedzy z wdrożonych procedur, bezpiecznego postępowania z nośnikami pamięci, czy możliwych niebezpieczeństw, które mogą spowodować negatywne konsekwencje wobec organizacji.

Natomiast jeżeli dojdzie do naruszenia, bez znaczenia czy z powodu zwykłego ludzkiego błędu bądź zuchwałej kradzieży, musimy mieć pewność, że technologia nas nie zawiedzie. W końcu, jeżeli dane były szyfrowane mocnym hasłem, to zgodnie z wytycznymi irlandzkiego urzędu, może nie będzie konieczności zgłaszania naruszenia bezpieczeństwa danych (2). Dlatego dla każdej firmy najcenniejszym aktywem jest świadomy pracownik, a następnie równie ważne jest mocne zabezpieczenie techniczne.

Źródło:

Pobierz wpis w wersji pdf

Podobne wpisy:

Dane osobowe w kopiach zapasowych

Dane osobowe w kopiach zapasowych

Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]

Pobieraczek.pl ukarany przez UOKiK

Rozważania na temat roli IOD w sytuacjach spornych

Na marginesie dyskusji o zakazie prewencyjnego badania trzeźwości pracowników dokonywanego samodzielnie przez pracodawcę pojawiło się ciekawe zagadnienie, dotyczące opinii sporządzanych przez IOD w odpowiedzi na pytania klientów, które daje pożywkę do dyskusji na temat funkcji i roli jaką pełni IOD w systemie prawa ochrony danych osobowych. Z dużą dozą prawdopodobieństwa można założyć, że większość osób […]

Dane osobowe dzieci w internecie

“ICO z tym internetem dzieci?” – Część I. Kodeks. 

Świat cyfrowy w XXI wieku przenika naszą codzienność, w sposób widoczny lub zupełnie nieświadomy towarzyszy nam w wielu zwyczajnych czynnościach, zarówno w pracy jak i w życiu prywatnym. Nasza rzeczywistość to splot świata materialnego i cyfrowego, a udział tego drugiego stale rośnie. Ten cyfrowy anturaż nie jest jednak zarezerwowany wyłącznie dla osób pełnoletnich, a wręcz […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki